什么是网络分段？为什么要使用网络分段？

网络分段是IT圈中的一个热门话题，所以在博客中讨论这一重要的行业趋势恰逢其时。本文将定义网络分段，解释使用网络分段的原因，并探讨相关的使用场景和技术。

什么是网络分段？

网络分段是一种将一个大型网络分隔成多个较小的逻辑网络或网段的做法。使用网络分段的原因有很多，但主要是为了提高网络安全性和/或改善用户体验。

如何使用VLAN和VXLAN？

网络分段主要通过两种方法实现，不过这两种方法非常相似。几十年来，虚拟局域网（VLAN）一直是主要的网络隔离方法，所以它不是一个新的概念。随着技术的发展，VLAN固有的限制就变得十分明显——每个管理域最大只能支持4094个VLAN网络。为克服这一限制，提出来了虚拟可扩展局域网（VXLAN）的技术，将每个管理域的网络数量扩大到1600万个。另一种网络分段的方法是IP子网，即使用IP地址将网络划分为更小的子网络并通过网络设备连接。这种方法不仅能提高网络性能，还能将网络威胁限定在特定VLAN或子网内。

通过监控东西向流量提高安全性

除了扩展可用网络以外，网络分段还能带来许多其他好处。首先是提高IT安全性。通过网络分段，可以将网络中某一网段的任何恶意软件或漏洞控制在该网段内，使其更难扩散到整个网络。

通过减少第2层工作负载提高性能

其次，网络分段可以提升用户体验。您可以利用分段为终端用户提供更加个性化的体验。网络分段还可以通过消除或降低网络拥塞和干扰来确保一组或多组设备的性能（带宽）。另一个实现性能优势的方法是将访客用户与支持关键业务数据流量的企业用户部署在不同的网络分段中，这样可以让从事关键业务活动的设备不再与访问如流媒体视频等应用的访客来竞争网络流量。

以防火墙为终结点的网络隔离可提高网络安全性

将网络划分为多个网段后，进入的威胁就无法横向移动从而轻易的扩散到到其他设备上。由于将威胁隔离在一个较小的网络中而非一整个大型网络，因此更加便于确定威胁的来源。对于IT安全方面带来的好处则是将某些设备和用户与其他设备和用户相隔离可以更容易地实现安全合规。与访客设备甚至内部BYOD设备相比，IT所拥有和管理的设备通常风险较低，因此可以将它们放置在专属的网段中。

有了网络分段，即便这些高风险设备中的一台受到威胁，威胁也无法扩散到位于其他网段上更为关键的IT资源。当这些被隔离的流量试图穿越防火墙时，可以对其进行拦截和报告，从而在遭受入侵时更快速地发出警报。

您还可以确定哪些物联网设备比网络上的其他设备面临更高的风险，并将它们置于单独的网段中。您甚至可以将每一种物联网设备都放在它们自己的网络中，与其他设备和需要保护的网络资源分开。虽然网络上的任何一台设备遭到入侵都不是好事，但网络分段可以让您将这些设备与其他设备相隔离，防止威胁扩散。互联网上有很多关于物联网僵尸网络的报道，因此您需要考虑支持物联网的网络分段。

通过网络分段改善用户体验

IT安全场景适用于各行各业，而用户体验场景则更具有行业特点。网络分段对于多住户单元（MDU）领域非常重要。多住户单元是指任何以多住户居住为特征的环境，如公寓大楼、老年生活社区、房车公园等。高等教育机构的宿舍也属于这种环境。

此类物业越来越多地采用可管理的企业级网络代替每个住户单独接入互联网服务提供商的传统模式。企业级网络在这种类似于郊区社区的环境中的优势十分明显，因为以往这种环境中的居民一旦离开单元范围，就会断开与网络的连接。在部署企业级网络后，网络管理员就可以利用统一的基础设施提供这些额外的优势。

微分段提高用户隐私和安全性

IT团队和托管服务提供商可以利用这种统一基础设施为住户提供个人专属网络。MDU物业中的每个单元都有自己的个人专属网络（VLAN/VXLAN），住户只能看到自己的设备，而看不到邻居的设备。由于只有单个单元而非整个物业内的设备能够响应广播帧，因此这种隔离提高了线路资源的利用率。用户的设备和流量与邻居隔离，而且他们也看不到邻居的设备和流量，所以这一功能还能保护住户的隐私。

最重要的是，当住户访问物业内的任何设施时，他们的SSID会跟随他们，在整个物业内提供端到端个人专属无线网络。这能给住户带来很好的用户体验，有助于物业吸引和留住住户。对于高等教育机构来说，个人专属网络是满足学生对Wi-Fi高期望的绝佳方式。

如何使用RUCKUS进行网络分段

RUCKUS Networks支持所有IEEE行业标准，具备实现网络分段所需的一切功能。RUCKUS使用VLAN和VXLAN实现网络分段，网络上最多可有4094个VLAN和1600万个 VXLAN。如前文所述，这一限制并非RUCKUS特有，而是IEEE 802.1Q标准所规定的。VXLAN可以在单个管理域上扩展到1600万个 “网络”，这能够带来一个额外的好处——这些网络可以跨越多个物理网段和地理区域。由于VXLAN是在三层网络上实现二层网络的分区，因此是可以支持这样的网络设计的。

RUCKUS网络分段引擎的核心是我们的Cloudpath注册系统，它通过云服务（也支持本地部署）来提供安全登录和网络接入。Cloudpath系统的美妙之处在于，您可以在没有RUCKUS接入点、SmartZone控制器或ICX交换机的情况下使用它，但只有与RUCKUS融合控制器、RUCKUS接入点和ICX交换机搭配使用时，才能充分发挥Cloudpath的技术优势。

基于完整的RUCKUS网络，管理员就可以利用VLAN或VXLAN根据自己的需求和能力完成网络分段。在使用Cloudpath进行网络分段时，您还能为每台设备关联用户身份。

您可在RUCKUS解决方案页面了解更多有关网络分段的信息，包括视频，解决方案简介以及更多内容您还可以访问我们最新的 AVE Union案例分享（AVE Union是一个使用VLAN为住户提供个人专属网络的MDU物业）。网络分段能够为企业机构带来许多优势。如果您有兴趣在您的环境中使用这项技术，请随时联系您的RUCKUS合作伙伴。

网络分段（微隔离）的3大优势是什么？

网络分段的三个主要目的是：

增强安全性：网络分段可将扁平网络划分为多个子网或网段，从而减少攻击面。分段限制了攻击者在网络内的横向移动。即便攻击者入侵网络，他们也只能访问网络中的有限部分，而不是整个系统。这正是微分段能达到的效果，通过在工作负载层面应用安全策略来实现更加精细化的安全保护。它同时也是“最小权限”策略的关键组成部分，该策略规定每个网段除所需要的访问权限外，不得拥有任何其他权限。这种方法对于保护信用卡信息等敏感数据尤其重要，符合支付卡行业数据安全标准（PCI DSS）等标准。

提高性能：网络分段可提高网络性能。通过隔离网络流量，可以确保关键服务获得所需的带宽。这一点在需要高效管理如东西向流量（数据中心服务器之间的流量）等各类流量的数据中心环境中尤其有用。网络分段还能通过限制网段间的不必要流量，帮助减少拥塞。

提高控制和监控力度：网络分段可提高网络可视性与控制。通过将网络划分成较小的部分，可以更容易地监控流量、识别异常情况并发现潜在漏洞，同时还能对不同网段设置不同的信任级别，实现更加精准的访问控制，例如可以将带有敏感数据的终端与泄露风险较高的终端隔离。软件定义网络（SDN）和虚拟化等技术可以使这一过程更加易于管理和灵活。

结论

请记住，虽然网络分段可以显著提高您的网络安全态势，但它并不是包治百病的灵丹妙药。网络分段应与防火墙、身份验证机制和强大的安全策略一同组成一套多层防御策略。